[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

dsa-1370 訳

From: Hideki Yamane <henrich@xxxxxxxxxxxxxx>
Subject: dsa-1370 訳
Date: Sat, 15 Sep 2007 00:56:31 +0900
List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
List-id: debian-www.debian.or.jp
List-owner: <mailto:debian-www-admin@debian.or.jp>
List-post: <mailto:debian-www@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
X-ml-name: debian-www
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-www@debian.or.jp
Message-id: <20070915005628.241552e9.henrich@xxxxxxxxxxxxxx>
X-mail-count: 11567
X-mailer: Sylpheed 2.4.5 (GTK+ 2.10.13; i486-pc-linux-gnu)

　やまねです。
　dsa-1370 訳です。査読願います。

------------------------------------------------------------------------
#use wml::debian::translation-check translation="1.1"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>
<p>
web ブラウザ上で MySQL を管理するプログラム phpMyAdmin 
にリモートから攻撃可能な複数の脆弱性が発見されました。
Common Vulnerabilities and Exposures プロジェクトでは以下の問題を認識しています:</p>
<ul>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1325";>CVE-2007-1325</a>

    <p>libraries/common.lib.php 中の PMA_ArrayWalkRecursive 
関数がユーザから与えられた配列に対して再帰を制限していないため、
コンテンツに依存しますが、攻撃者が多次元配列によってサービス不能 
(DoS) 攻撃 (web サーバのクラッシュ) が可能になっています。</p>

    <p>この問題は安定版ディストリビューション (stable、コードネーム etch) 
    にのみ影響を与えます。</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1395";>CVE-2007-1395</a>

    <p>index.php 中でのブラックリストが不完全であるという脆弱性によって、大文字の 
&lt;/SCRIPT&gt; 終了タグに続けて任意の JavaScript あるいは HTML を 
(1) db パラメータまたは (2) table パラメータ値に挿入することで、小文字の &lt;/script&gt; 
に対しての防御を迂回して、攻撃者がリモートからクロスサイトスクリプティング (XSS) 
攻撃を引き起こせます。</p>

    <p>この問題は安定版ディストリビューション (stable、コードネーム etch) 
    にのみ影響を与えます。</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2245";>CVE-2007-2245</a>

    <p>複数のクロスサイトスクリプティング (XSS) 脆弱性が存在しており、
(1) browse_foreigners.php の fieldkey パラメータを使う、あるいは 
(2) PMA_sanitize 関数に特定の値を与えることで、攻撃者がリモートから任意の 
web スクリプトや HTML を挿入可能になります。</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6942";>CVE-2006-6942</a>

    <p>複数のクロスサイトスクリプティング (XSS) 脆弱性によって、
(a) db_operations.php を介した攻撃での (1) テーブル名へのコメント、
(b) db_create.php での (2) db パラメータ、
(3) db_operations.php での newname パラメータ、
(c) querywindow.php での (4) query_history_latest パラメータ、
(5) query_history_latest_db パラメータ、および (6) querydisplay_tab パラメータ、
(d) sql.php での (7) pos パラメータをそれぞれ利用することで、攻撃者がリモートから任意の 
HTML や web スクリプトを挿入可能になっています。</p>

    <p>この問題は旧安定版ディストリビューション (oldstable、コードネーム sarge) 
    にのみ影響を与えます。</p></li>

<li><a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6944";>CVE-2006-6944</a>

    <p>phpMyAdmin は、リモートから攻撃者が偽装した IP ヘッダアドレスを利用して、
Allow/Deny アクセスルールを迂回するのが可能となっています。</p>

    <p>この問題は旧安定版ディストリビューション (oldstable、コードネーム sarge) 
    にのみ影響を与えます。</p></li>

</ul>

<p>安定版ディストリビューション (stable、コードネーム etch) では、
これらの問題はバージョン 2.9.0.3-4 で修正されています。</p>

<p>旧安定版ディストリビューション (oldstable、コードネーム sarge) では、
これらの問題はバージョン 2.6.2-3sarge4 で修正されています。</p>

<p>不安定版ディストリビューション (unstable、コードネーム sid) では、
これらの問題はバージョン 2.10.1-1 で修正されています。</p>

<p>phpmyadmin パッケージのアップグレードをお勧めします。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2007/dsa-1370.data"

Follow-Ups:
- Re: dsa-1370 訳
  - From: Seiji Kaneko
- Re: dsa-1370 訳
  - From: Kobayashi Noritada

Prev by Date: Debian JP master SVN www commits (rev.458)
Next by Date: Debian Web site Translation Update
Previous by thread: Debian JP master SVN www commits (rev.458)
Next by thread: Re: dsa-1370 訳
Index(es):
- Date
- Thread